谷歌被黑的思考：如何避免零日攻击

　　Google在1月12日通过博客揭露该公司和其他厂商受到来自中国的攻击，几位人权运动者的Gmail账号被入侵。后来纷纷传出北京外国记者的Gmail信箱也被骇黑 ，最新的消息是，Google网络攻击事件：美国打算提出正式的外交会面 。新闻事件愈滚愈大，各种事件原委的推测纷纷出笼，甚至说Google中国员工可能有内贼 。 路透社报导说Google正在调查，该公司中国办公室可能涉嫌的员工。

　　这项攻击似乎专门锁定特定人士，因此目前并未广泛流传。稍早Google 对外宣布其计算机系统遭到黑客攻击，受害的目标为一些位于美国、欧洲与中国境内中国人权人士的 Gmail 账号。这起事件也引发该搜索引擎巨擘发表声明表示考虑彻出中国市场。其他大型企业，如 Yahoo、Dow Chemicals 与 Northrop Grumman 也传出类似的攻击案例。

　　根据独立研究机构的推测，目前至少有 34 家公司已经遭到这项“极精密的锁定目标攻击”。这项攻击呼应了我们先前的预测，那就是全球性的攻击正在势微当中，反倒是特定人员才是在线攻击最新锁定的对象。

　　后门程序一旦执行，就会从被感染的系统上窃取信息

　　这项攻击所安装的后门程序一旦执行，就会从被感染的系统上窃取信息。搜集到的相关数据，会传送至远程的黑客，因此可能用于其它后续的恶意活动。

　　根据观察，这项攻击运用了多重管道。在某些案例中，使用者会收到含有恶意附件文件的电子邮件，其目的是要引诱用户下载附件文件。不过，最值得注意的是，此攻击利用了一个先前所有已知 Internet Explorer 浏览器版本 (除 5.01 版之外) 都不曾发现的零日攻击漏洞，让黑客能在感染的系统上安装一个后门木马程序。Microsoft 也在最近的声明中证实了 Google 和其他企业遭受的攻击的确用到了这项漏洞。为了解决此一问题，他们建议客户在 Windows Vista 上的 IE 7 启用“受保护模式”并且启用系统的“数据执行防止”(DEP) 功能。。除此之外，该项攻击也用到了 Adobe Reader 与 Acrobat 的漏洞。

　　趋势科技 TrendLabs 经过进一步分析之后发现，这些锁定目标的攻击运用了好几种痛经。在某些案例中，使用者会收到含有恶意附件文件的电子邮件，其目的是要引诱用户下载附件档案;而其他案例则是利用 Adobe Reader 与 Acrobat 不久前才修补的漏洞 (CVE-2009-4324) 在受害的系统中安装恶意软件。

　　五只木马遭锁定

　　最值得注意的是，此攻击利用了一个先前所有已知 Internet Explorer 浏览器版本 (除 5.01 版之外) 都不曾发现的漏洞 (CVE-2010-0249)。Microsoft 在最近的安全性摘要报告中证实了 Google 与其他企业所遭受的攻击确实用到了这项漏洞，并且提出了几个因应措施来降低此问题对 IE 用户的冲击。

　　趋势科技已侦测出好几个与该项攻击相关的恶意文件：

　　TROJ_HYDRAQ.A

　　TROJ_AGENT.PIDG

　　TROJ_DLOAD.COB

　　TROJ_COSSTA.DV

　　TROJ_PIDIEF.SHK

　　专家忧心由于该漏洞影响多个IE版本，且攻击Google的程序代码曝光，很可能在微软修复该漏洞之前，爆发大规模网络攻击。相关应变措施也开始出招，甚至出现法、德政府呼吁民众勿用 IE ，ITIC分析师迪迪欧(Laura DiDio)发人深省的说，“如果Google会被入侵，任何人都无法幸免。”

　　根据华尔街日报的这篇报导《White House, Beijing Joust Over Censorship 》指出国内两大知名集团是甚至被中国黑客当作攻击跳板。美国国土安全顾问委员会成员、世界黑客年会Black Hat创办人摩斯(Jeff Moss)说：“安全部门吵着要更多防护措施，企业主总会质疑其必要性。Google揭露这些攻击事件，给争取安全防护经费的人强有力的理由。”这可能是对 IT 管理者少数比较正面的消息。

　　每年企业界动辄投资上千万防毒防黑，但企业防御失效的另一个容易被忽略的问题是：来自合法使用系统者的内部滥用，或因为社交工程 ( Social Engineering ) 手法，点选利用 IE 漏洞攻击的恶意连结或误入钓鱼网站陷阱，而被植入木马等恶意软件。

　　在漏洞攻击愈来愈快速的今日，有可能因为一个内部未能实时修补漏洞的计算机而瘫痪几千万安全设备。谁能及时告诉管理者网络未引爆的炸弹在哪里并给予拆除?

　　如何减轻零日攻击风险?

　　病毒样本搜集不易，加上木马、后门程序的运作具隐匿性，且攻击目标有针对性，而Rootkit隐形技术难以察觉及DLL Injection的侦测困难。有生产厂房的管理者在安装修正程序时，为避免上hotfix 问题更多，引起瞬断(一秒瞬断，可能引发好几千万损失)得分时派送、逐步更新，因而形成安全上的空窗期。

　　更让管理者头痛的是要是在厂商发布修补程序之后，又出现了另一个零时差攻击呢.?

　　接下来需要做什么?

　　1、增强防御能力

　　–尽速更新 Patch & Hotfix.

　　– 更实时的更新病毒特征及扫毒引擎.

　　2、使用云计算技术以达到实时更新

　　– 加强 Email true file type 的侦测

　　– 加强 HTTP true file type 的下载侦测

　　3、了解网络内部真正存在的漏洞及隐患，并提出解决方案